主页 / server / 问题 / 993553
Accepted
Ingo
Asked: 2019-11-28 17:36:15 +0800 CST

如何在 Debian 上使用 OpenLDAP 服务器设置 SASL 代理授权

  • 772

对于 Kerberos 身份验证以及客户端设备上的 SASL/GSSAPI 授权,我需要在具有 Debian/Raspbian Buster 的 Raspberry Pi 上运行的 OpenLDAP 服务器上进行代理授权。我尝试按照 OpenLDAP Software 2.4 Administrator's Guide 中有关SASL 代理授权的说明进行操作,但无法使其正常工作。身份验证失败或未找到代理用户且授权失败。使用原始用户进行身份验证没有问题:

ldap-server ~$ kinit ingo
Password for [email protected]:
ldap-server ~$ ldapwhoami
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 256
SASL data security layer installed.
dn:uid=ingo,ou=people,ou=home,dc=hoeft-online,dc=de

但是在设置代理授权时,我对源规则和目标规则以及放置属性的位置authzTo以及authzFrom启用proxyAuth的位置感到困惑。

有人可以举一个简短的例子,如何使用 SASL/GSSAPI 身份验证在 LDAP 服务器上定义代理授权?

debian

1 个回答

  1. Best Answer

    我无法在网上找到关于此的示例,我花了几天时间才了解广泛的细节。这是我将它组合在一起的方法,以便其他人现在可以找到一个示例。

    对于需要 Kerberos 身份验证的 SASL/GSSAPI 的正确代理授权,我们必须指定用作代理用户的 Kerberos 主体。然后对于 ldap 服务器上的 SASL 身份验证,我们需要从 SASL auth dn 到 ldap 帐户的常用用户映射。现在我们可以设置代理授权了。

    创建 Kerberos 主体

    我创建anyuser以将其身份验证用作任何用户的代理。我需要它在客户端设备上进行 GSSAPI 身份验证。

    ~$ kadmin -p somebody/admin addprinc -policy user anyuser

    身份验证映射

    这是 OpenLDAP Software 2.4 Administrator's Guide about Mapping Authentication Identities中描述的常用专有名称 (dn) 映射。

    ~$ cat > /tmp/in.ldif <<EOF
dn: cn=config
changetype: modify
add: olcAuthzRegexp
olcAuthzRegexp:
  {0}uid=([^,]*),cn=gssapi,cn=auth
  uid=\$1,ou=people,ou=home,dc=hoeft-online,dc=de
-
add: olcAuthzRegexp
olcAuthzRegexp:
  {1}uid=([^,]*),cn=home.hoeft-online.de,cn=gssapi,cn=auth
  uid=\$1,ou=people,ou=home,dc=hoeft-online,dc=de
EOF

~$ sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/in.ldif

    使用以下命令测试映射:

    ~$ kinit ingo
~$ ldapwhoami -Y GSSAPI -v
ldap_initialize( <DEFAULT> )
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 256
SASL data security layer installed.
dn:uid=ingo,ou=people,ou=home,dc=hoeft-online,dc=de
Result: Success (0)

    设置SASL 代理授权

    默认情况下禁用代理授权。所以首先我们必须在 ldap 服务器上启用它。我只想使用authzTo属性。对于可能的设置,请man slapd-config查看olcAuthzPolicy.

    ~$ cat > /tmp/in.ldif <<EOF
dn: cn=config
changetype: modify
add: olcAuthzPolicy
olcAuthzPolicy: to
EOF

~$ sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/in.ldif
# For this modify is a restart needed
~$ sudo systemctl restart slapd.service

    现在我创建一个用作代理的anyuser posix 帐户。要设置authzTo属性,请查看Mapping Authentication Identities

     ~$ cat > /tmp/in.ldif <<EOF
dn: cn=anyuser,ou=group,ou=home,dc=hoeft-online,dc=de
objectClass: top
objectClass: posixGroup
cn: anyuser
gidNumber: 1001

dn: uid=anyuser,ou=people,ou=home,dc=hoeft-online,dc=de
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
uid: anyuser
uidNumber: 1001
gidNumber: 1001
cn: any
sn: user
loginShell: /usr/sbin/nologin
homeDirectory: /nonexistent
authzTo: dn.regex:^uid=[^,]*,ou=people,ou=home,dc=hoeft-online,dc=de$
EOF

~$ sudo slapadd -l /tmp/in.ldif

    现在您可以使用以下命令测试代理授权:

    ~$ kinit -p ingo
~$ ldapwhoami -Y GSSAPI -D "uid=anyuser,ou=people,ou=home,dc=hoeft-online,dc=de"
SASL/GSSAPI authentication started
SASL username: [email protected]
SASL SSF: 256
SASL data security layer installed.
dn:uid=ingo,ou=people,ou=home,dc=hoeft-online,dc=de

    另请注意代理授权规则

    源规则非常强大。如果普通用户有权在他们自己的条目中写入 authzTo 属性,那么他们可以编写允许他们像其他任何人一样授权的规则。因此,在使用源规则时,authzTo 属性应使用仅允许特权用户设置其值的 ACL 进行保护。

    • 0

相关问题